Apesar de servir como um alerta, a “teletela orwelliana”16 está aquém da
realidade. Isso porque, diferente da concreta figura do Grande Irmão, a vigilância atual encontra-se diluída e dispersada, diferenciando-se da ideia de dois atores definidos na relação (observador e observado) para se enquadrar em um modelo de negócio pautado na vigília dos consumidores potenciais entre os todos os cidadãos.
Conforme ilustra Bauman (2001, p. 25), esta “modernidade líquida” da atualidade faz com que as relações se tornem mais voláteis, caracterizadas por intensas incostâncias e incertezas consequentes das perdas de pontos de referências dos indivíduos socialmente estabelecidos.
Em verdade, como ressalta Bioni (2018, p. 141-143), a atual “multifacetação é resultado desse complexo ambiente de economia dos dados pessoais”. Desse modo, o que antes era visto como uma grande tela por George Orwell, agora se transformou em uma rede de vigilância - com características fluidas de dispersão dos dados captados por inúmeros atores que os utilizam economicamente, por meio da qual os cidadãos são analisados e segmentados por seus hábitos e gostos.
Por essa característica de fluidez, o controle dos dados se torna um ato de difícil operação, ficando a mercê desse sistema. Conforme o autor supramencionado (2018, p. 145), “a realidade esconde um quadro mais problemático que a ficção”. Nesse cenário, o complexo informacional resultante desse fluxo contínuo e opaco dos dados pessoais importa em regulamentos imprescindíveis que capacitem os cidadãos a controlar suas informações.
Atrelando as diretrizes protetoras do direito da privacidade à proteção de dados pessoais, os sistemas jurídicos (ainda que com vertentes diversas) concordaram a respeito dos princípios básicos a fim de permitir a instituição do consentimento como uma defesa ao titular. Tanto isso é verdade que Mendes (2014, p. 68) destaca:
A convergência internacional estabelecida acerca dos princípios é marcante: mesmo os ordenamentos jurídicos mais diversos preveem praticamente os mesmos princípios de proteção de dados, com mínimas diferenças. Esse quadro comum de princípios é conhecido por “Fair Information Principles” e
16 Como ponto de partida, o romance já demonstra as entraves de uma vigilância ostensiva, na figura do Grande Irmão - figura estatal que estava sob o controle de todos os fatos e cidadãos por meio de câmeras instaladas nas residências. Contudo, na narração de George Orwell (pseudônimo de Erick Arthur Blair), havia uma falha na vigília: além de que apenas os sons acima de sussurros poderiam ser captados, a instalação das câmeras era mau calculada, havendo espaços internos fora de sua visão (BIONI, 2018, p. 139).
teve a sua origem na década de 70 de forma quase simultânea nos EUA, Inglaterra e Alemanha.
No solo americano, foi no ano de 1972 que o Poder Executivo realizou sua primeira ação, no âmbito do Departamento de Saúde, Educação e Bem-Estar: a designação de um comitê consultivo acerca dos sistemas automatizados de dados pessoais. Um ano depois, os estudos divulgaram um relatório que, além de propor redefinição do conceito de privacidade, apresentou um rol princípios tidos como fundamentais acerca do tratamento de dados dos cidadãos17.
Na mesma época, na Inglaterra, conforme aponta Mendes (2014, p. 69), foram estabelecidos princípios básicos de proteção após um estudo sobre os riscos advindos com os processamentos automatizados realizados por organizações privadas. Já na Alemanha, em 1970, tem-se a primeira lei que trata da matéria (Lei do Estado de Hesse), a qual englobou as diretrizes de ambos os países e serviu de exemplos para os futuros regulamentos acerca da proteção de dados pessoais (REINALDO FILHO, 2018)18.
Nesse sentido, observa-se o princípio da finalidade. Por meio dele, exigiu-se o estabelecimento de uma conexão entre o tratamento dos dados e a finalidade daqueles que o coletam, sendo, ao mesmo tempo, um meio de restrição ao compartilhamento com terceiros e medida verificadora da adequação e razoabilidade do uso dos dados pessoais (MALHEIRO, 2017, p. 34).
Ressalta-se também o princípio da publicidade ou, comumente conhecido, da transparência, segundo o qual ocorre a vedação da manutenção de bancos de dados sigilosos e os repassa para conhecimento (DONEDA, 2006, p, 216). Para Mendes (2014, p. 70), tal princípio “reafirma o preceito democrático”, uma vez que sua base está pautada em um instrumento (transparência) que visa combater abusos.
Veja-se ainda o o princípio da responsabilidade, o qual, conforme indica Malheiro (2017, p. 34), busca garantir a reparação do indivíduo quando da ocorrência de danos materiais e/ou morais em virtude de atentados à sua privacidade, bem como o princípio da segurança física e lógica, que determina que os bancos de dados devam ser assegurados por mecanismos que protejam seus dados contra extravios e desvios que não tenham sido assegurados pelos seus titulares (DONEDA, 2006, p. 217).
17 Disponível em: https://aspe.hhs.gov/report/records-computers-and-rights-citizens.
18 Disponível em: https://jus.com.br/artigos/67668/lei-de-protecao-de-dados-pessoais-aproxima-o- brasil-dos-paises-civilizados.
Por fim, surge com destaque o princípio do consentimento, instrumento por meio do qual o controle sobre os dados pessoais passa a ser do próprio titular, cabendo a ele “determinar um maior nível de proteção ou maior fluxo de seus dados, expressando - em tese - sua permissão, sua anuência, sua aprovação para certa forma de tratamento de dados pessoais” (MALHEIRO, 2017, p. 34).
Para tanto, conforme preceitua o princípio, o consentimento exige uma manifestação do indivíduo livre, específica e informada, resguardando situações mínimas para o tratamento de dados sem o consentimento (MENDES, 2014, p. 70).
Nesse sentido, Doneda (2006, p. 371):
O consentimento do interessado para o tratamento de seus dados é um dos pontos mais sensíveis de toda a disciplina de proteção de dados pessoais; através do consentimento, o direito civil tem a oportunidade de estruturar, a partir da consideração da autonomia da vontade, da circulação de dados e dos direitos fundamentais, uma disciplina que ajuste os efeitos deste consentimento à natureza dos interesses em questão.
Assim, o consentimento se apresenta como uma medida regulatória capaz de autorizar e proibir, ao mesmo tempo, atividades acerca do tratamento de dados, cabendo aos indivíduos escolherem consciente e racionalmente sobre o que lhes diz respeito.
Unindo-se aos demais princípios protetores, o consentimento exige que haja prévia comunicação, clara e transparente, acerca da finalidade do futuro tratamento dos dados. Nesse sentido, para o tratamento dos dados, como no caso do data mining, mecanismo de potencial teor discriminatório, o instrumento do consentimento exige o fornecimento de informações, pautadas no princípio da transparência, sobre os processamentos (MALHEIRO, 2017, p. 36).
3.1 Dualidade do consentimento: autodeterminação informativa e meio de legitimação para o tratamento de dados pessoais
Já utilizado nos meios contratuais, o instituto do consentimento, que até então expressava uma declaração de vontade de negociar partindo de um indivíduo a terceiro, ao ser aplicado para o ambiente da proteção de dados pessoais, passa a designar a liberdade e autonomia dos usuários acerca da ciência sobre o procedimentos que serão realizados com seus dados, concordando com tais ações (CORRÊA, 2019, p. 29).
Assim, nos normativos que tratam sobre a matéria (conforme se verificará no próximo capítulo), o consentimento encontra-se no cerne, com o objetivo de colocar o titular no centro do controle sobre a coleta e o tratamento de suas informações, preservando, assim, a sua capacidade de livre desenvolvimento da personalidade” (MENDES, 2014, p. 60).
Seria dever do Estado, neste cenário, legislar sobre os meios e formas pelos quais o indivíduo terá a sua disposição no momento do ato de controle. Ainda conforme a autora:
Por se constituir um direito sobre as informações pessoais, a proteção de dados pessoais tem um forte componente de autoconformação, tendo em vista que somente o indivíduo pode determinar o âmbito da própria privacidade, isto é, em que medida as suas informações pessoais podem ou não ser coletadas, processadas e transferidas. Nesse aspecto, nota-se que a proteção de dados pessoais é marcada por esse acentuado viés de autocontrole e de liberdade pelo titular.
O consentimento surge, portanto, como um instrumento do indivíduo que possibilita o exercício da sua autodeterminação informativa, cabendo a ele anuir (ou não) com a coleta e tratamento de suas informações.
Em relação ao instituto, Bioni (2015, p. 43) ainda ressalta a ideia trazida por Tene e Polonetsky de que o consentimento aparece como uma carta coringa regulatória”, com o objetivo de representar as autorizações e proibições do titular em meio a um complexo sistema de coletas e tratamentos de dados pessoais.
Desse modo, percebe-se que, a fim de deixar de ser enquadrado como um simples meio de fornecimento de dados, o indivíduo passa a figurar como um elemento central ao longa da evolução da proteção dos dados pessoais, a ponto desta proteção ser equiparada ao direito do cidadão autogerenciar as suas informações pessoais” (MALHEIRO, 2017, p. 35).
Relembrando os ensinamentos de Mendes, Cancelier (2016, p. 128-129) ressalta a ideia de que o consentimento, assim, apresenta-se como uma das formas de exercício da autodeterminação informativa”, tendo em vista a liberdade dada ao indivíduo em relação ao desenvolvimento de sua personalidade.
Nesse sentido, Malheiro (2017, p. 34):
O consentimento é uma forma de implementar o direito à autodeterminação informativa, visto que envolve a própria participação do indivíduo, que funciona como mola propulsora da estrutura da proteção de dados, permeando todo o processo de tratamento de dados.
Tamanha é a particularidade do consentimento no cenário de proteção dos dados que, quanto a sua natureza jurídica, cabe categorizá-lo de acordo com os efeitos e consequências que surgem de tal.
Observa-se que Mendes (2014, p. 62-63), ao analisar as correntes acerca do tratamento de dados pessoais, constata a polêmica em torno do assunto. Tanto isso é verdade que, conforme identifica a autora, na Alemanha (país pioneiro na regulamentação sobre o tema) havia três correntes diversas: a primeira, relacionada à natureza de uma declaração de vontade negocial” (rechtsgeschäftliche Erklärung); a segunda, voltada ao entendimento do consentimento como um ato jurídico unilateral, afastado de uma natureza negocial (Realhandlung); e, por fim, a terceira, no sentido de que seria uma similitude de um negócio jurídico, sem realmente o ser (geschäftsähnliche Handlung).
A terceira e última vertente é a que tem sido predominante nos regulamentos e, segundo o entendimento de Mendes (2014, p. 63), parece ser a mais adequada: encontra-se clara e nítida a natureza atípica do consentimento para o processamento de dados, que tem características negociais, ao mesmo tempo em que possui também um caráter personalíssimo”.
Desse modo, enquanto, por um lado, a sua função como protetor dos dados pessoais estaria voltada àquela dos negócios jurídicos, tendo em vista ser um instrumento de autodeterminação do indivíduo, um exemplo acerca da sua capacidade civil retira a aplicação da norma: estando o caráter personalíssimo do consentimento relacionado ao processamento de dados, o principal objetivo passa a ser a identificação daquele que detém a capacidade de discernimento para autorizar determinado tipo de coleta ou tratamento de dados, não sendo necessária a capacidade civil para tanto (MALHEIRO, 2017, p. 39).
Percebe-se, assim, a dicotomia existente que impede enquadrar o consentimento como uma natureza única, uma vez que, ao mesmo tempo, está relacionado a um direito personalíssimo e à utilidade dos dados pessoais.
Observa-se que o Regulamento Geral de Proteção de Dados, em seu art. 4º item 1119, prevê o instituto do consentimento como sendo uma declaração de vontade
19 “Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que
inequívoca do indivíduo livre, específica, informada e explícita”, por meio da qual retira-se a sua aceitação acerca do tratamento de seus dados. Nesse sentido, pode ser admitido como um instrumento da autonomia privada do cidadão (MALHEIRO, 2017, p. 37).
Analisando em um ambiente mais amplo, que vai além da proteção dos dados pessoais, Orlando Gomes (2008, p. 55) entende que o instrumento do consentimento está relacionado ao direito contratual, no qual os indivíduos exprimem a sua vontade de contratar, dando ciência uma a outra da sua intenção negocial para que seja selado um compromisso entre elas”.
Já para Doneda (2006, p. 377-378), contudo, relacionado a um ato unilateral vinculado a uma autorização (tratamento dos dados pessoais), tendo sua orientação voltada ao poder de autodeterminação informativa do indivíduo, sem, contudo, relacionar-se com uma estrutura contratual.
Desse modo, seria inapropriado considerar o consentimento em natureza negocial, uma vez que, caso assim fosse, seria permitida a inclusão desse instituto nas estruturas contratuais, além de dificultar o exercícuo das prerrogativas da personalidade que deveriam ser analisados e respeitados.
Desse modo, desataca o autor (2006, p. 378):
Verifica-se, portanto, que a fundamentação deste consentimento reside na possibilidade de autodeterminação em relação aos dados pessoais, e que esta autodeterminação deve o elemento principal a ser levado em conta para caracterizarmos tanto a natureza jurídica bem como os efeitos deste consentimento.
Conforme o entendimento de Ruaro, Rodrigues e Finger (2011, p. 61), o consentimento passa a ser identificado como um mecanismo que expressa a escolha do indivíduo e, ato contínuo, refere-se aos valores fundamentais relacionados. Assim sendo, ao mesmo tempo em que identifica a autodeterminação informacional do usuário (como condição de acesso à sua esfera privada), ele se mostra um importante instrumento de legitimação.
Outra circunstância acerca do consentimento que merece relevância, está relacionada às possibilidades de revogação do consentimento declarado pelo
os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. Versão em português
disponível em: https://eur-lex.europa.eu/legal-
indivíduo, visto ser uma das prerrogativas essenciais da autodeterminação do cidadão titular dos dados pessoais.
Inerente à ideia de proteção da personalidade do seu titular, a possibilidade de sua revogação encontra-se tácita. Segundo Doneda (2006, p. 380), tal ato seria, inclusive, uma atribuição da própria natureza jurídica do consentimento, uma vez que, decorrente da autodeterminação, o indivíduo não está submetido a efeitos vinculantes da sua escolha. Já quanto àquele que recebeu a autorização para o uso dos dados e depois a vê revogada, nada se poder fazer, uma vez que está inerente à natureza da atividade.
Para Mendes (2014, p. 61-64), no mesmo sentido, a revogação do consentimento sem qualquer justificativa é a vertente que mais condiz com a realidade, uma vez que está intrínseco à proteção dos dados pessoais (como direito à personalidade). Isso se vê, inclusive, em virtude de o indivíduo detentor dos dados pessoais enfrentar uma série de dificuldades para que possa mensurar os riscos e consequências do seu consentimento.
Ademais, veja-se que a ideia de revogação está atrelada, ainda, ao direito de mudar de ideia do cidadão. A contrario sensu, a título exemplificativo do que ocorre com a realidade, diversos websites enviam notificações aos usuários quando das mudanças e atualizações das suas políticas de privacidade aos seus usuários, sem, contudo, abrir possibilidade para que estes possam revogar (ou renovar) seus consentimentos anteriormente expressos.
Sobre o assunto, o artigo Click here to consent forever de Clusters20 ressalta: [...] o consentimento é geralmente solicitado no momento do registro, mas raramente é renovado. Como resultado, consentir uma vez implica em consentir para sempre. Ao mesmo tempo, dadas às rápidas transformações no Big Data e análise de dados, o consentimento pode facilmente tornar-se desatualizado (quando o consentimento anterior não mais reflete as preferências dos usuários)21.
Para o autor, portanto, conforme apresenta Malheiro (2017 p. 51), deveriam ser postas datas limites de validade dos consentimento, a ponto e que ele expiraria” findo
20 Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3047128.
21 Tradução livre do trecho: “(…) consent is usually asked for when registering, but rarely is consent
renewed. As a result, consenting once often implies consent forever. At the same time, given the rapid changes in Big Data and data analysis, consent may easily get outdated (when earlier consent no longer reflects a user’s preferences)”.
o prazo e, assim, o consentimento manteria sua prerrogativa de manter-se sempre atualizado.
Conforme traz a Escola Nacional de Defesa do Consumidor (2010, p. 70-71), a ideia da revogação, ainda, deve ser entregue aos usuários através de mecanismos ostensivos e facilitados aos usuários, tendo em vista serem eles o elo fraco da relação.
Observa-se, assim, que, ao utilizar da sua autodeterminação, não encontra-se o indivíduo restrito a consequências de natureza obrigacional, que o vinculariam ao seu consentimento anteriormente entregue (DONEDA, 2006, p. 381).
O que irá agregar maior ou menor valor ao instituto, conforme se verá a seguir, será a sua adjetivação no decorrer dos regulamentos, como é o caso de ele vir acompanhado de informado”, livre” e expresso” (MENDES, 2014, p. 46).
3.2 Pressupostos de validade: a adjetivação” do consentimento
A validade do consentimento em si, para Mendes (2014, p. 65), dá-se a partir de determinados pressupostos que merecem ser observados, sendo eles: i) o titular deve emitir consentimento por sua livre e espontânea vontade; ii) o consentimento deve ser voltado a uma finalidade específica; iii) deve haver informação ao usuário sobre os objetivos da coleta, processamento e uso de dados e consequências sobre não consentir com o tratamento”.
Ademais, trazendo, de início, validade ao consentimento, a declaração do indivíduo deve preceder a coleta de seus dados, isto é, ser obtida antes da interferência de terceiros, a fim de servir como um instrumento de informação acerca do que será consentindo, inclusive dos riscos e consequências de sua decisão. Além disso, a possibilidade de revogação do consentimento deve estar sempre presente, tanto com relação à autorização para o tratamento, quanto para a própria circulação dos dados colhidos” (SOUZA, 2018, p. 30).
Segundo artigo publicado pela Universidade de Leiden22, os autores Schermer,
Clusters e van der Hof entendem que a validade do consentimento se dá quando seja ele fornecido por um indivíduo que tenha ciência dos riscos e consequências que acompanham a sua declaração de vontade, além de que seja ele assegurado de coerção, autorizando determinado tratamento de dados específicos.
Veja-se, assim, que a validação do consentimento está relacionada a presença de adjetivos, sendo denominada, portanto, de adjetivação do consentimento”.
Desse modo, para que o consentimento seja tido como válido, diversas regulamentações pressupõem determinados pressupostos (adjetivos), podendo-se depreender um quadro comum entre as normas com relação aos adjetivos atrelados ao consentimento de informado”, livre, inequívoco” e com finalidades determinadas”.
3.2.1 Consentimento informado
Agregado à boa-fé negocial, o adjetivo informado surge como um direito ao usuário e um dever aos responsáveis pelo tratamento dos dados pessoais: direito- dever de informação. Para tornar o consentimento válido, antes de mais nada, faz-se necessário que o titular detenha informações suficientes para se capacitar e decidir.
Analisando o significado do próprio termo informação, Bioni (2018, p. 191) traz as afirmações de Cláudia Lima Marques de que “é ‘dar forma, é colocar (in) em uma forma , aquilo que um sabe ou deveria saber (o expert) e que outro (leigo) ainda não sabe”.
Tamanha é sua importância no ambiente da proteção de dados pessoais que, na maior parte da doutrina, a expressão consentimento informado” é substituída pelo simples termo ”consentimento”, estando inerentes, portanto, as informações elementares disponíveis ao indivíduo.
Sobre o adjetivo em questão, Malheiro (2017, p. 44) destaca a sobrecarga da autodeterminação informativa que ele guarda, estando os indivíduos no controle total de suas informações e suas vidas, bem como apresenta o dever de aquele que indicará sua vontade seja completamente informado do que está consentindo, de forma que esteja ciente das consequências e riscos daquela decisão”.
Dessarte, o consentimento informado é colocado como um mecanismo de garantia de que as decisões tomadas pelo indivíduo serão racionais e ponderadas e, consequentemente, caso não houvesse o dito consentimento, haveria a constatação de uma quebra do princípio da autonomia.
Sob esta análise, constata-se duas relevantes informações: i) considerando o elemento formal ( dar forma”), retira-se que a maneira pela qual a declaração de vontade do titular será externalizada é de suma importância; ii) acerca da utilidade da
informação a ser passada, entende-se que deve haver acréscimo de conhecimento ao usuário, trazendo proteção àquele que a recebe, sendo ela, portanto, imprevisível e original” (BIONI, 2018, p. 192).
Para tanto, o modelo básico do consentimento (consentimento informado) parte por duas etapas, para o referido autor, sendo elas: o pedido pelo controlador e a